金融庁は15日、金融商品取引業者向けの監督指針改正案を公表した。インターネット取引での不正アクセス被害が深刻化している事態に対応する。ID・パスワードに依存した従来型の認証を改め、偽造が極めて困難な「パスキー」などの導入を事実上必須化。利用者保護とサイバーセキュリティー水準の向上を急ぐ。
改正案の最大の柱は、インターネット取引における本人認証の抜本的な高度化だ。ログインや出金といった重要な操作時に、フィッシング詐欺に耐性を持つ多要素認証の導入を求め、これを初期設定(デフォルト)とするよう義務付ける。これまでも多要素認証は推奨されていたが、今回の改正案では指紋や顔認証を用いる「パスキー」や電子証明書を活用した「PKI認証」を具体例として明記。攻撃者がID・パスワードを窃取しても突破されにくい、より堅牢な仕組みへの移行を強く促す内容となった。これは、金融機関側のセキュリティー対策が、巧妙化するサイバー攻撃に追いついていないとの当局の強い危機感の表れといえる。
単一の対策に留まらず、網羅的かつ継続的なセキュリティー体制の構築も要求する。リスクの分析から対策の実施、評価、見直しまでを繰り返すPDCAサイクルの徹底を明記。さらに、顧客の普段の利用状況と異なる挙動を検知する「振る舞い検知」や、認証に繰り返し失敗した場合に口座を一時的に凍結するアカウント・ロック機能の実装も盛り込んだ。これらは、不正の「入口」である認証の強化と、「入口」を突破された場合でも被害を食い止める「検知」の両面から防御壁を厚くする狙いだ。
利用者保護の観点も大幅に強化された。スマートフォンを持たないなどの理由で高度な認証が利用できない顧客に対し、代替手段の提供を求める配慮も盛り込まれている。特に注目されるのは、不正取引の被害が発生した場合の対応だ。顧客の状況を十分に考慮し、被害補償を含めた真摯な対応を行う態勢の整備を義務付けた。これは、これまでの事後的な対応要請から一歩踏み込み、補償体制の事前構築を求めるもので、金融機関の社会的責任をより明確にするものだ。
今回の措置は、証券会社のウェブサイトを装ったフィッシングサイトで顧客情報が盗まれ、第三者に不正利用される被害が後を絶たないことを受けたもの。金融庁は、金融商品取引業者だけでなく、信用格付業者、高速取引行為者、投資運用関係業務受託業者に対しても同様の指針改正案を提示。金融システム全体のセキュリティーレベルを引き上げることで、一部の脆弱性が全体のリスクへと波及することを防ぐ狙いがある。意見公募を8月18日まで実施し、速やかに改正を施行する方針だ。
